Mehrere Schul-Admins können sich nicht mehr einloggen

createc-solution · 9. November 2023 um 13:05

Hallo zusammen,

bin mir nicht sicher seit wann genau, ich vermute mal seit dem Update auf LMN7.2, können sich mehrere Schuladministratoren bis auf einer nicht mehr an der Schulkonsole einloggen. Mit dem einen Benutzer „createc“ der noch funktioniert logge ich mich öfters ein, hat das womöglich mit abgelaufenen Passwörtern zu tun?

Ich habe mal die ajenti.log bei einem Loginvorgang beobachtet, bei einem Benutzer wo es nicht funktioniert spuckt das log folgendes aus:

ajenti.log

2023-11-09 13:14:51,197 WARNING : Failed login from c.flory at IP : 10.0.255.1 
2023-11-09 13:14:51,198 ERROR   : 'NoneType' object is not subscriptable

Auffällig ist auch das im Samba-Log gar kein Versuch unternommen wird ein Kerberos-Ticket zu beschaffen, hier zum Vergleich beim Login von „createc“:

ajenti.log

2023-11-09 13:58:38,251 WARNING : Initializing Kerberos ticket for createc 
2023-11-09 13:58:38,580 INFO    : Opening a session for user createc 
2023-11-09 13:58:38,581 INFO    : Opening a new worker gate for session 7, client 10.0.255.1 
2023-11-09 13:58:38,603 INFO    : 10.0.255.1 - - [2023-11-09 13:58:38] "POST /api/core/auth HTTP/1.1" 200 3091 0.419377 
2023-11-09 13:58:38,612 INFO    : New worker "session 7" PID 3637279, EUID 0, EGID 0 
2023-11-09 13:58:38,613 INFO    : Authenticating session as createc 
2023-11-09 13:58:38,781 WARNING : Changing kerberos ticket rights for createc

log.smbd:

[2023/11/09 13:59:38.846598,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: AS-REQ createc@BBS.LAN from ipv4:10.0.0.1:50927 for krbtgt/BBS.LAN@BBS.LAN 
[2023/11/09 13:59:38.851357,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Client sent patypes: 150, 149 
[2023/11/09 13:59:38.851400,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Looking for PKINIT pa-data -- createc@BBS.LAN 
[2023/11/09 13:59:38.851420,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Looking for ENC-TS pa-data -- createc@BBS.LAN 
[2023/11/09 13:59:38.851450,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: No preauth found, returning PREAUTH-REQUIRED -- createc@BBS.LAN 
[2023/11/09 13:59:38.921200,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: AS-REQ createc@BBS.LAN from ipv4:10.0.0.1:33992 for krbtgt/BBS.LAN@BBS.LAN 
[2023/11/09 13:59:38.924637,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Client sent patypes: encrypted-timestamp, 150, 149 
[2023/11/09 13:59:38.924728,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Looking for PKINIT pa-data -- createc@BBS.LAN 
[2023/11/09 13:59:38.924795,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Looking for ENC-TS pa-data -- createc@BBS.LAN 
[2023/11/09 13:59:38.924874,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: ENC-TS Pre-authentication succeeded -- createc@BBS.LAN using aes256-cts-hmac-sha1-96 
[2023/11/09 13:59:38.979649,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: AS-REQ authtime: 2023-11-09T13:59:38 starttime: unset endtime: 2023-11-09T23:59:38 renew till: 2023-11-10T13:59:38 
[2023/11/09 13:59:38.979871,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Client supported enctypes: aes256-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96, 20, 19, des3-cbc-sha1, arcfour-hmac-md5, 25, 26, using aes256-cts-hmac-sha1-96/aes256-cts-hmac-sha1-96 
[2023/11/09 13:59:38.979974,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Requested flags: renewable-ok 
[2023/11/09 13:59:38.991149,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: AS-REQ createc@BBS.LAN from ipv4:10.0.0.1:57126 for krbtgt/BBS.LAN@BBS.LAN 
[2023/11/09 13:59:38.997366,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Client sent patypes: encrypted-timestamp, 150, 149 
[2023/11/09 13:59:38.997476,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Looking for PKINIT pa-data -- createc@BBS.LAN 
[2023/11/09 13:59:38.997532,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: Looking for ENC-TS pa-data -- createc@BBS.LAN 
[2023/11/09 13:59:38.997690,  3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper) 
  Kerberos: ENC-TS Pre-authentication succeeded -- createc@BBS.LAN using aes256-cts-hmac-sha1-96

Auffällig ist auch das beim prüfen der Schuladmins in der Schulkonsole beim Anzeigen der Erstpasswörter das Passwort zwar dasteht, aber nicht dasteht ob das Passwort mittlerweile vom Benutzer geändert wurde oder nicht. Es läuft noch eine Abfrage, sichtbar an dem drehenden Rädchen, aber es wird nicht angezeigt. Beim Benutzer „createc“ wo der Login noch funktioniert wird das korrekt angezeigt.

Ich habe auch schon das Erstpasswort und das Hauptpasswort eines betroffenen Benutzers geändert und eine erfolgreiche Rückmeldung der Schulkonsole erhalten, jedoch schlägt der Login trotzdem fehl.

Kann ich das auf der Kommandozeile mit den sophomorix-Tools besser überprüfen, bzw. was kann ich hier noch tun?

Greets

Chris

Arnaud · 9. November 2023 um 13:08

Hallo Chris,

Die Login dürfen seit den letzten Versionen keinen Punkt mehr erhalten, das ist das Problem.

Gruß

Arnaud

createc-solution · 9. November 2023 um 13:16

Hallo Arnaud,

Die Login dürfen seit den letzten Versionen keinen Punkt mehr erhalten, das ist das Problem.

ändert sich das nochmal?

Gibt es eine einfache Möglichkeit diese Benutzer umzubennen (ohne Punkt), oder besser neu anlegen?

Gruß

Chris

Arnaud · 9. November 2023 um 13:23

Hallo Chris,

Nein, das war eigentlich schon so seit Anfang des Projekts, aber ich musste das Auth-Verfahren Updaten, und damit ist es enger geworden. Grund ist, dass es problematisch für die Posix-Befehle sein könnte. Wir haben es mehrmals hier im Forum diskutiert

Wenn die betroffene User keine Dateien haben, es geht sehr schnell einen neuen Schuladmin in die Webui als global-admin hinzufügen, unter Benutzerverwaltung.

Gruß

Arnaud

createc-solution · 9. November 2023 um 13:39

Hallo Arnaud,

Wenn die betroffene User keine Dateien haben

habe ich gerade geprüft, Dateien wurden in den entsprechenden Unterverzeichnissen gespeichert unter /srv/samba/schools/default-school/management. Gibt es eine Möglichkeit der Umbenennung der Benutzer inkl. den Verzeichnissen über die Sophomorix-Tools oder bleibt mir nur die Neuanlage der Benutzer ohne Punkt im Namen und kopieren der Verzeichnisinhalte mit anschliessender Anpassung der Rechte / ACLs?

Gruß

Chris

Arnaud · 9. November 2023 um 14:24

Hallo Chris,

Mal schauen ob chmod mit einem Punkt im Login funktioniert, aber ansonstens korrigiere ich oft Eigentümer per chmod.

Ansontens gibt es die Möglichkeit einen User per sophomorix umzubenennen, mit sophomorix-user --old-uid oldlogin --new-uid newlogin aber der User muss abgemeldet sein.

Gruß

Arnaud

createc-solution · 13. November 2023 um 15:30

Hallo Arnaud,

der rename über sophomorix hat leider nicht funktioniert „Unknown option: old-uid
Unknown option: new-uid“, war aber kein Problem da nur ein User Daten gespeichert hatte. Die Daten hatte ich gerade zum neuen Benutzer rüberkopiert und die Rechte / ACLs angepasst.

Greets

Chris